TYPO3 Security Bulletin TYPO3-20061220-1: Remote Command Execution in TYPO3 [Архив]

Просмотр полной версии : TYPO3 Security Bulletin TYPO3-20061220-1: Remote Command Execution in TYPO3

RSS Bot

20.12.2006, 22:42

Component Type: System Extension (TYPO3 Versions 4.0-4.0.3, 4.1beta) Third Party Extension (TYPO3 Versions up to 3.8.1). SinceTYPO3 Version 4.0 the extension is part of the TYPO3...

More... (http://news.typo3.org/news/article/typo3-security-bulletin-typo3-20061220-1-remote-command-execution-in-typo3/)

Tod

24.12.2006, 22:57

Вопросы к тем, кто разобрался что к чему:
1. Быстрое устранение ошибки - это удалить 'class.tx_rtehtmlarea_pi1.php' - за что он отвечает и какие будет последствия при работе с редактором после удаления?
Или удаление ничего не поменяет и этого вполне хватит для безопасности?
2. Обязательное ли обновление ядра системы? или это просто пожелания автора и хватит всего обновить расширение htmlarea до той или иной версии?

PhilD

25.12.2006, 00:12

если я правильно понял - достаточно обновления редактора
удаление - это если нет возможности обновить расширение

void

25.12.2006, 00:37

После удаления файла перестанет работать проверка орфографии средствами aspell.
Обновить нужно только rtehtmlarea. Вопрос в том, что это расширение является в 4.0.x системным (лежит в typo3/sysext). По умолчанию обновление системных расширений запрещено в install tool, а новые версии таких расширений устанавливаются как локальные в typo3conf/. Поэтому нужно разрешить обновление системных расширений, либо скачать 4.0.4 source пакет и переставить симлинки.

Tod

25.12.2006, 00:45

Спасибо за ответы. Все прояснилось.
После удаления файла перестанет работать проверка орфографии средствами aspell.
Интересно много кто этим пользуется?))

Tod

25.12.2006, 14:17

Поэтому нужно разрешить обновление системных расширений, либо скачать 4.0.4 source пакет и переставить симлинки.
На typo3.org пишут :
Quick Fix (apply only as a last resort when TYPO3 and/or the extension can't be updated immidiately):
Delete the file 'class.tx_rtehtmlarea_pi1.php'.
The file 'class.tx_rtehtmlarea_pi1.php' can be found in one or more of the following locations:
PATH_TO_YOUR_SITE/typo3/sysext/rtehtmlarea/pi1
PATH_TO_YOUR_SITE/typo3/ext/rtehtmlarea/pi1
PATH_TO_YOUR_SITE/typo3conf/ext/rtehtmlarea/pi1
Посему думаю просто удалить ненужный файл в системном расширении, а обновить установленное локально - этого достаточно?

void

26.12.2006, 00:44

Да, этого должно быть достаточно.